请问 Linux 下有什么好用的查 webshell 木马工具？

2016-08-20 19:57:01 +08:00

Ranh

目前试了下用 Shell 脚本匹配，但是特征少的可怜，多了又误报，
用"SeayFindShell"这个 python 脚本查还行，但是基本都是正对 php 的， jsp 的 shell 基本查不出来，
某狗虽然有 linux 版，但这种装一台挂一台的程序还是不敢用，大家有什么好的建议或者推荐的吗？。

4079 次点击

所在节点

Linux

9 条回复

odoooo

2016-08-20 22:07:14 +08:00

如果没有变量追踪的类似需求，使用 find 命令是坠好的！

int64ago

2016-08-20 22:52:33 +08:00

我用 WebShell 的时候最担心其实是 git + inotify + iptables 类似这种的

与其查，不如一开始就防

Ranh

2016-08-20 23:49:16 +08:00

@odoooo 恩 jsp 的我是用 find 的 php 用"SeayFindShell"
@int64ago 乙方..

jyf007

2016-08-21 09:27:42 +08:00

这是我现在的需求啊。

q397064399

2016-08-21 14:52:45 +08:00

大部分 webshell 应该都有一个在正常开发中使用的非常少的函数
例如 php eval()之类，不知道 includefile='shell.jpg' 这种洞还存在不
可以的话把市面上的 webshell 都下载一遍手工提取特征码，讲道理的话，一个 webshell 真要跑起来
有些特征是跑不掉的

itisthecon

2016-08-21 17:13:38 +08:00

善用 find+grep

dion

2016-08-21 19:36:44 +08:00

@q397064399
是的，流量是不能伪造的。

q397064399

2016-08-21 19:58:29 +08:00

@dion 你可以过滤下 web 的路由记录，查看有没有特殊的路由地址例如 xxx.php?之类的

Ranh

2016-08-22 03:07:39 +08:00

@q397064399 php 的话"SeayFindShell"好像可以做到变量追踪的，现在就是把 https://github.com/tennc/webshell 的 shell 都下载下来了，特征码提取有点蛋疼...
@itisthecon 恩 find+egrep

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/300682

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.